Увидел свет (http://marc.info/?l=openssh-unix-dev&m=126801438509606&w=2) релиз OpenSSH 5.4 (http://www.openssh.com/), открытой реализации клиента и сервера для работы по протоколу SSH версии 1.3, 1.5 и 2.0.

Кроме исправления более 30 ошибок в новой версии представлены следующие новшества:

-  По умолчанию отключена поддержка протокола SSH 1. Для работы устаревших клиентов (OpenSSH  более 10 лет поддерживал SSH 1 как дань обратной совместимости) необходимо вручную включить поддержку SSH 1 в файле конфигурации;

-  В sftp-сервер добавлена поддержка режима "только для чтения", при котором запрещены все связанные с модификацией содержимого команды. Также в sftp-сервер добавлена возможность переопределения локального для пользователя значения umask;

-  Много улучшений добавлено в код sftp-клиента: поддержка автодополнения команд по нажатию клавиши "табуляция"; опция "-h" для вывода списка файлов в ls в более читаемом виде; поддержка всех доступных в scp опций (sftp может выс...

URL: http://marc.info/?l=openssh-unix-dev&m=126801438509606&w=2
Новость: http://www.opennet.me/opennews/art.shtml?num=25714

• Релиз OpenSSH 5.4,Tav, 20:55 , 08-Мрт-10
  • Релиз OpenSSH 5.4,PereresusNeVlezaetBuggy, 21:47 , 08-Мрт-10
• Релиз OpenSSH 5.4,Анонима, 21:49 , 08-Мрт-10
  • Релиз OpenSSH 5.4,PereresusNeVlezaetBuggy, 21:56 , 08-Мрт-10
• Релиз OpenSSH 5.4,maotm, 09:21 , 09-Мрт-10
  • Релиз OpenSSH 5.4,PereresusNeVlezaetBuggy, 10:06 , 09-Мрт-10
• SSH Callback,livello, 16:56 , 09-Мрт-10
  • SSH Callback,PereresusNeVlezaetBuggy, 17:04 , 09-Мрт-10
    • SSH Callback,livello, 15:10 , 10-Мрт-10
  • SSH Callback,Аноним, 17:26 , 09-Мрт-10

Вот только поддержку жестких ссылок до сих пор не добавили. Патчи уже давно в багтрекере (https://bugzilla.mindrot.org/show_bug.cgi?id=1555) и никакого движения. С этими патчами можно было бы полноценно использовать sshfs.

Хм. Если вам интересно, напишите лично разработчикам OpenSSH, например, Damien Miller <djm@mindrot.org>. Вообще странно, конечно, что ответов нет.

А рациональ для введения своего формата сертов есть?

>А рациональ для введения своего формата сертов есть?

Читайте описание коммита (там были и другие, корректирующие и дополняющие, но основное здесь), выводы делайте сами:

CVSROOT:        /cvs
Module name:    src
Changes by:     djm@cvs.openbsd.org     2010/02/26 13:29:54

Modified files:
        usr.bin/ssh    : PROTOCOL PROTOCOL.agent addrmatch.c
                         auth-options.c auth-options.h auth.h
                         auth2-pubkey.c authfd.c dns.c dns.h hostfile.c
                         hostfile.h kex.h kexdhs.c kexgexs.c key.c key.h
                         match.h monitor.c myproposal.h servconf.c
                         servconf.h ssh-add.c ssh-agent.c ssh-dss.c
                         ssh-keygen.1 ssh-keygen.c ssh-rsa.c ssh.1 ssh.c
                         ssh2.h sshconnect.c sshconnect2.c sshd.8 sshd.c
                         sshd_config.5
Added files:
        usr.bin/ssh    : PROTOCOL.certkeys

Log message:
Add support for certificate key types for users and hosts.

OpenSSH certificate key types are not X.509 certificates, but a much
simpler format that encodes a public key, identity information and
some validity constraints and signs it with a CA key. CA keys are
regular SSH keys. This certificate style avoids the attack surface
of X.509 certificates and is very easy to deploy.

Certified host keys allow automatic acceptance of new host keys
when a CA certificate is marked as trusted in ~/.ssh/known_hosts.
see VERIFYING HOST KEYS in ssh(1) for details.

Certified user keys allow authentication of users when the signing
CA key is marked as trusted in authorized_keys. See "AUTHORIZED_KEYS
FILE FORMAT" in sshd(8) for details.

Certificates are minted using ssh-keygen(1), documentation is in
the "CERTIFICATES" section of that manpage.

Documentation on the format of certificates is in the file
PROTOCOL.certkeys

feedback and ok markus@

>По умолчанию отключена поддержка протокола SSH 1. Для работы устаревших клиентов (OpenSSH более 10 лет поддерживал SSH 1 как дань обратной совместимости) необходимо вручную включить поддержку SSH 1 в файле конфигурации;

А что, разве в конфиге до этого SSH1 был раньше включен??

>>По умолчанию отключена поддержка протокола SSH 1. Для работы устаревших клиентов (OpenSSH более 10 лет поддерживал SSH 1 как дань обратной совместимости) необходимо вручную включить поддержку SSH 1 в файле конфигурации;
>
>А что, разве в конфиге до этого SSH1 был раньше включен??

Да, fallback-режимом. То есть по возможности использовался SSH2, но если это не было возможно, происходил откат на SSH1.

А как сделать обратное подключение в SSH?
Чтобы клиент подключился к серверу и предоставил свою консоль ему, а не наоборот, как это традиционно бывает.
К примеру, я хочу порулить компом пользователя, который за NAT, а сам имею внешний IP-адрес.

>А как сделать обратное подключение в SSH?
>Чтобы клиент подключился к серверу и предоставил свою консоль ему, а не
>наоборот, как это традиционно бывает.
>К примеру, я хочу порулить компом пользователя, который за NAT, а сам
>имею внешний IP-адрес.

Через форвардинг портов. Пример: Имеем машины someclient (за NAT'ом) и someserv (с "белым" IP-адресом).

1. На обеих машинах запускаем SSH-сервера. На someserv должен быть разрешён форвардинг портов (по умолчанию в OpenSSH, но политика может быть другой в ОС).

2. С someclient подключаемся к someserv по SSH, включив форвардинг удалённого порта:

someclient$ ssh -R 23452:127.0.0.1:22 -N someserv

3. С someserv подключаемся к SSH-серверу someserv через проброшенный туннель:

someserv$ ssh -p 23452 127.0.0.1

Спасибо за развернутый ответ!

От клиента к серверу подключаете перенаправление порта (ssh server -R 2222:localhost:22) и потом через него подключаетесь с сервера к клиенту (ssh -p2222 localhost).